La organización ciberdelincuente detrás del ataque de ransomware en desarrollo en la Universidad de Manchester parece haber accedido y robado información de identificación personal (PII) de más de un millón de pacientes del NHS cuyos datos estaban en poder de la universidad con fines de investigación.
De acuerdo a El Independienteque fue el primero en informar sobre el último desarrollo, el conjunto de datos se relaciona con pacientes con trauma, incluidas víctimas de ataques terroristas, tratados en más de 200 hospitales, y la información comprometida supuestamente incluye números del NHS y los primeros tres caracteres de los códigos postales de los pacientes.
Se dice que la universidad se puso en contacto con NHS Trusts en los últimos días para advertirles sobre su posible exposición. Se entiende que es posible que los pacientes afectados no supieran que sus datos se habían compartido, por lo que deben estar alertas a los ataques posteriores, correos electrónicos de phishing o contacto de la pandilla de ransomware, que ya ha estado acosando a los estudiantes de Manchester.
NHS England se negó a comentar sobre la historia, mientras que la Universidad de Manchester no confirmó detalles específicos del incidente.
“Confirmamos el 23 de junio que se accedió a nuestros sistemas y se copiaron los datos de estudiantes y ex alumnos”, dijo un portavoz de la universidad. “Se informó a las personas sobre este incidente cibernético y se les ofreció apoyo y asesoramiento para proteger aún más sus datos.
“Nuestras investigaciones sobre el impacto están en curso y continuamos trabajando con las autoridades y socios relevantes, incluida la Oficina del Comisionado de Información, el Centro Nacional de Seguridad Cibernética (NCSC), la Agencia Nacional del Crimen y otros organismos reguladores.
“Nuestros expertos en datos internos y el soporte externo están trabajando las 24 horas para resolver este incidente y responder a sus impactos, y no podemos hacer más comentarios en esta etapa”.
Expertos forenses
El ataque a los sistemas de la Universidad de Manchester salió a la luz a principios de junio y, desde entonces, ha estado trabajando con organizaciones y expertos forenses externos, incluidos el NCSC, la Agencia Nacional contra el Crimen (NCA) y la Oficina del Comisionado de Información (ICO) para establecer su impacto
Los datos que se ha confirmado que se han visto afectados incluyen información sobre los estudiantes que solicitan alojamiento para estudiantes e información sobre antiguos alumnos. La universidad dijo que no tiene evidencia que sugiera que se accedió a ningún dato bancario o de pago.
En el momento de escribir este artículo, sus equipos de TI han restaurado con éxito la mayoría de sus sistemas, aunque todavía se producen algunos problemas. Su servicio VPN GlobalProtect para trabajadores remotos e híbridos se desconectó para todos los usuarios fuera del campus y no se espera que se restablezca hasta dentro de al menos otro mes.
Además, está aumentando su capacitación en protección de datos y seguridad cibernética para el personal, y ha ofrecido al personal y a los estudiantes de investigación de posgrado una suscripción de un año a Experian.
La identidad del operador de ransomware detrás del ataque sigue sin revelarse.
Jake Moore, asesor global de seguridad cibernética de ESET: “Cualquier dato de identificación personal robado es preocupante, pero cuando los datos incluyen datos médicos confidenciales, el nivel de preocupación aumenta. Los ataques de ransomware se están convirtiendo más comúnmente en ejercicios de liberación de datos y, por lo tanto, tener una copia de seguridad de los datos ya no es suficiente para resistir estos ataques.
“Una vez que los actores de amenazas tienen en sus manos información confidencial crucial, pueden rescatar los datos por el valor que deseen. Desafortunadamente, la liberación de datos en el olvido de Internet se está convirtiendo rápidamente en el escenario habitual”.
El director de seguridad de la información (CISO) de campo de Check Point, Deryck Mitchelson, exdirector de digital nacional y CISO en NHS National Services Scotland, cuestionó por qué la universidad tenía acceso a la PII de los pacientes del NHS.
“¿Cuántas otras universidades tienen este tipo de datos almacenados en sus propios servidores? ¿Se ofuscaron los datos o se anonimizaron? Cuando la información del paciente se utiliza para la investigación, debe haber tanta apertura y transparencia sobre ese uso como sea posible”, dijo.
“¿Fue este el caso? ¿Qué salvaguardas implementó la universidad en torno a sus datos de investigación? ¿Los conjuntos de datos de investigación están segmentados de otros? ¿Está completamente encriptado en reposo con la rotación de claves en su lugar? ¿Es auditable el acceso a los datos? Todo esto abre muchas más conversaciones sobre el intercambio de datos entre organizaciones públicas y privadas, que deben abordarse”.